Undersöka anslutningshändelser som inträffar bakom vidarebefordrade proxy
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender XDR
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Defender för Endpoint stöder övervakning av nätverksanslutningar från olika nivåer i nätverksstacken. Ett utmanande fall är när nätverket använder en vidarebefordranproxy som en gateway till Internet.
Proxyn fungerar som om det var målslutpunkten. I dessa fall granskar enkla nätverksanslutningsövervakare anslutningarna med proxyn som är korrekt men har ett lägre undersökningsvärde.
Defender för Endpoint stöder avancerad övervakning på HTTP-nivå via nätverksskydd. När den är aktiverad visas en ny typ av händelse som exponerar de verkliga måldomännamnen.
Använda nätverksskydd för att övervaka nätverksanslutningen bakom en brandvägg
Det går att övervaka nätverksanslutningen bakom en vidarebefordrad proxy på grund av andra nätverkshändelser som kommer från nätverksskyddet. Om du vill se dem på en tidslinje för enheten aktiverar du nätverksskyddet (minst i granskningsläge).
Nätverksskyddet kan styras med hjälp av följande lägen:
- Blockera: Användare eller appar blockeras från att ansluta till farliga domäner. Du kommer att kunna se den här aktiviteten i Microsoft Defender XDR.
- Granskning: Användare eller appar blockeras inte från att ansluta till farliga domäner. Du ser dock fortfarande den här aktiviteten i Microsoft Defender XDR.
Om du inaktiverar nätverksskydd blockeras inte användare eller appar från att ansluta till farliga domäner. Du ser ingen nätverksaktivitet i Microsoft Defender XDR.
Om du inte konfigurerar det inaktiveras nätverksblockering som standard.
Mer information finns i Aktivera nätverksskydd.
Undersökningspåverkan
När nätverksskyddet är aktiverat ser du att IP-adressen på en enhets tidslinje fortsätter att representera proxyn, medan den verkliga måladressen visas.
Andra händelser som utlöses av nätverksskyddsskiktet är nu tillgängliga för att visa de verkliga domännamnen även bakom en proxy.
Information om händelsen:
Jaga anslutningshändelser med avancerad jakt
Alla nya anslutningshändelser är tillgängliga för dig att jaga vidare genom avancerad jakt också. Eftersom dessa händelser är anslutningshändelser kan du hitta dem under tabellen DeviceNetworkEvents under åtgärdstypen ConnecionSuccess
.
Med den här enkla frågan visas alla relevanta händelser:
DeviceNetworkEvents
| where ActionType == "ConnectionSuccess"
| take 10
Du kan också filtrera bort händelser som är relaterade till anslutningen till själva proxyn.
Använd följande fråga för att filtrera bort anslutningarna till proxyn:
DeviceNetworkEvents
| where ActionType == "ConnectionSuccess" and RemoteIP != "ProxyIP"
| take 10
Relaterade artiklar
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.